Band Together: Untargeted Adversarial Training with Multimodal Coordination against Evasion-based Promotion Attacks

📄 arXiv: 2605.06238v1 📥 PDF

作者: Guanmeng Xian, Ning Yang, Philip S. Yu

分类: cs.LG, cs.AI

发布日期: 2026-05-07

🔗 代码/项目: GITHUB

💡 一句话要点

提出UAT-MC,通过多模态协同对抗训练提升推荐系统抵御规避式攻击的能力。

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 多模态推荐系统 对抗训练 规避式攻击 梯度对齐 鲁棒性

📋 核心要点

  1. 多模态推荐系统易受规避式推广攻击,现有防御方法主要针对单模态和投毒攻击,对规避式攻击研究不足。
  2. 提出UAT-MC,通过将所有物品视为潜在目标,并引入梯度对齐机制,解决跨模态梯度不匹配问题。
  3. 实验表明,UAT-MC显著提升了推荐系统针对推广攻击的鲁棒性,并在防御-准确性之间取得了较好的平衡。

📝 摘要(中文)

多模态推荐系统利用视觉和文本信号来缓解数据稀疏性,但也因此更容易受到基于规避的推广攻击。现有的防御方法主要局限于单模态设置,并且主要关注基于投毒的威胁,对规避式威胁的研究不足。本文首先识别了多用户推广设置下的跨模态梯度不匹配现象,即视觉和文本扰动由于不同用户群体的支配而在不一致的方向上进行优化。这种现象会降低攻击的有效性,并导致鲁棒训练低估最坏情况的风险。为了解决这个问题,我们提出了具有多模态协同的非目标对抗训练(UAT-MC)。UAT-MC通过将所有项目视为潜在目标来解决基于规避的攻击中未知目标项目(与基于投毒的攻击相反)的挑战,并引入梯度对齐机制来显式地纠正这种不匹配。这种设计确保了跨模态的同步扰动,从而最大限度地提高了对抗强度以进行鲁棒训练。大量实验表明,UAT-MC显著提高了针对推广攻击的鲁棒性,同时在防御-准确性权衡下保持了可接受的推荐性能。

🔬 方法详解

问题定义:论文旨在解决多模态推荐系统中,针对规避式推广攻击的防御问题。现有的防御方法主要集中在单模态场景或者针对投毒攻击,而忽略了多模态推荐系统特有的跨模态梯度不匹配问题,导致防御效果不佳。攻击者可以通过精心设计的视觉和文本扰动,使得推荐系统错误地推广特定物品,从而损害用户体验和平台利益。

核心思路:论文的核心思路是通过对抗训练,提高推荐系统对恶意扰动的鲁棒性。具体而言,UAT-MC将所有物品都视为潜在的攻击目标,并显式地对齐不同模态之间的梯度,使得对抗样本能够有效地欺骗推荐系统。通过这种方式,UAT-MC能够有效地模拟最坏情况下的攻击,从而提高推荐系统的鲁棒性。

技术框架:UAT-MC的整体框架包括以下几个主要步骤:1) 对输入的多模态数据(视觉和文本)进行嵌入表示;2) 生成对抗样本,通过梯度上升的方式,寻找能够最大化推荐损失的扰动;3) 使用对抗样本进行训练,最小化推荐损失,提高模型的鲁棒性。其中,梯度对齐机制是UAT-MC的关键组成部分,它能够确保不同模态的扰动方向一致,从而提高对抗样本的攻击效果。

关键创新:UAT-MC的关键创新在于以下两点:1) 针对规避式攻击,将所有物品视为潜在目标,避免了需要预先知道攻击目标的限制;2) 引入梯度对齐机制,解决了多模态推荐系统中跨模态梯度不匹配的问题,提高了对抗训练的效率。与现有方法相比,UAT-MC能够更有效地提高推荐系统对规避式攻击的鲁棒性。

关键设计:UAT-MC的关键设计包括:1) 梯度对齐损失:通过计算不同模态梯度之间的余弦相似度,并将其作为损失函数的一部分,来强制不同模态的扰动方向一致;2) 对抗样本生成:使用 projected gradient descent (PGD) 方法生成对抗样本,通过多次迭代和投影,寻找在扰动范围内的最优对抗样本;3) 模型训练:使用对抗样本和原始样本混合训练,最小化推荐损失,提高模型的鲁棒性。具体的参数设置需要根据具体的推荐模型和数据集进行调整。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,UAT-MC在多个数据集上显著提高了推荐系统对规避式推广攻击的鲁棒性。例如,在某个数据集上,UAT-MC将攻击成功率降低了超过20%,同时保持了可接受的推荐准确率。与现有的对抗训练方法相比,UAT-MC能够更有效地提高推荐系统的安全性。

🎯 应用场景

该研究成果可应用于各种多模态推荐系统,例如电商、社交媒体和在线视频平台。通过提高推荐系统对恶意攻击的鲁棒性,可以有效防止虚假推广和恶意营销,保护用户利益,维护平台的公平性和可信度,具有重要的实际应用价值。

📄 摘要(原文)

Multimodal recommender systems exploit visual and textual signals to alleviate data sparsity, but this also makes them more vulnerable to evasion-based promotion attacks. Existing defenses are largely limited to single-modal settings and mainly focus on poisoning-based threats, leaving evasion-based threats underexplored. In this work, we first identify a cross-modal gradient mismatch under the multi-user promotion setting, where visual and textual perturbations are optimized in inconsistent directions due to the dominance of distinct user groups. This phenomenon dilutes the attack effectiveness and leads robust training to underestimate worst-case risks. To address this issue, we propose Untargeted Adversarial Training with Multimodal Coordination (UAT-MC). UAT-MC tackles the challenge of unknown targeted items in evasion-based attacks (as opposed to poisoning-based attacks) by treating all items as potential targets, and introduces a gradient alignment mechanism to explicitly correct this mismatch. This design ensures synchronized perturbations across modalities, thereby maximizing adversarial strength for robust training. Extensive experiments demonstrate that UAT-MC significantly improves robustness against promotion attacks while maintaining acceptable recommendation performance under the defense-accuracy trade-off. Code is available at https://github.com/gmXian/UAT-MC.